<?xml version="1.0" encoding="UTF-8"?>
<rss xmlns:content="http://purl.org/rss/1.0/modules/content/" xmlns:dc="http://purl.org/dc/elements/1.1/" xmlns:rdf="http://www.w3.org/1999/02/22-rdf-syntax-ns#" xmlns:taxo="http://purl.org/rss/1.0/modules/taxonomy/" version="2.0">
  <channel>
    <title>topic Remove XML elements via transforms (keep the tags) in Getting Data In</title>
    <link>https://community.splunk.com/t5/Getting-Data-In/Remove-XML-elements-via-transforms-keep-the-tags/m-p/531962#M89467</link>
    <description>&lt;P&gt;Hi,&lt;/P&gt;&lt;P&gt;I am trying to remove elements from XML in a log file using the heavy forwarder via transforms.conf&lt;/P&gt;&lt;P&gt;Tried several variants, this one has come close but is only creating a single&amp;nbsp; instance of what its found&lt;/P&gt;&lt;P&gt;e.g &lt;EM&gt;&amp;lt;name&amp;gt;REDACTED&amp;lt;name&amp;gt;&lt;/EM&gt;&lt;/P&gt;&lt;P&gt;&amp;nbsp;&lt;/P&gt;&lt;P&gt;Current&lt;/P&gt;&lt;P&gt;Transforms.conf&lt;/P&gt;&lt;P&gt;[redact_xml]&lt;BR /&gt;REGEX = &amp;lt;(.*)&amp;gt;[^&amp;lt;]*&amp;lt;\/\1&amp;gt;&lt;BR /&gt;FORMAT = &amp;lt;$1&amp;gt;REDACTED&amp;lt;$1&amp;gt;&lt;BR /&gt;DEST_KEY = _raw&lt;/P&gt;&lt;P&gt;&amp;nbsp;&lt;/P&gt;&lt;P&gt;Example, the log file might have:&lt;/P&gt;&lt;P&gt;&amp;nbsp;&lt;/P&gt;&lt;LI-CODE lang="markup"&gt; &amp;lt;?xml version="1.0" encoding="UTF-8"?&amp;gt; &amp;lt;breakfast_menu&amp;gt; &amp;lt;food&amp;gt;&amp;lt;name&amp;gt;Belgian Waffles&amp;lt;/name&amp;gt;&amp;lt;price&amp;gt;$5.95&amp;lt;/price&amp;gt;&amp;lt;description&amp;gt;    Two of our famous Belgian Waffles with plenty of real maple syrup    &amp;lt;/description&amp;gt;&amp;lt;calories&amp;gt;650&amp;lt;/calories&amp;gt; &amp;lt;/food&amp;gt; &amp;lt;food&amp;gt;&amp;lt;name&amp;gt;Strawberry Belgian Waffles&amp;lt;/name&amp;gt;&amp;lt;price&amp;gt;$7.95&amp;lt;/price&amp;gt;&amp;lt;description&amp;gt;Light Belgian waffles covered with strawberries and whipped cream&amp;lt;/description&amp;gt;&amp;lt;calories&amp;gt;900&amp;lt;/calories&amp;gt; &amp;lt;/food&amp;gt; &amp;lt;food&amp;gt;&amp;lt;name&amp;gt;Berry-Berry Belgian Waffles&amp;lt;/name&amp;gt;&amp;lt;price&amp;gt;$8.95&amp;lt;/price&amp;gt;&amp;lt;description&amp;gt;Belgian waffles covered with assorted fresh berries and whipped cream&amp;lt;/description&amp;gt;&amp;lt;calories&amp;gt;900&amp;lt;/calories&amp;gt; &amp;lt;/food&amp;gt; &amp;lt;food&amp;gt;&amp;lt;name&amp;gt;French Toast&amp;lt;/name&amp;gt;&amp;lt;price&amp;gt;$4.50&amp;lt;/price&amp;gt;&amp;lt;description&amp;gt;Thick slices made from our homemade sourdough bread&amp;lt;/description&amp;gt;&amp;lt;calories&amp;gt;600&amp;lt;/calories&amp;gt; &amp;lt;/food&amp;gt; &amp;lt;food&amp;gt;&amp;lt;name&amp;gt;Homestyle Breakfast&amp;lt;/name&amp;gt;&amp;lt;price&amp;gt;$6.95&amp;lt;/price&amp;gt;&amp;lt;description&amp;gt;Two eggs, bacon or sausage, toast, and our ever-popular hash browns&amp;lt;/description&amp;gt;&amp;lt;calories&amp;gt;950&amp;lt;/calories&amp;gt; &amp;lt;/food&amp;gt; &amp;lt;/breakfast_menu&amp;gt;&lt;/LI-CODE&gt;&lt;P&gt;&amp;nbsp;&lt;/P&gt;&lt;P&gt;And I want to push into splunk the redacted version&lt;/P&gt;&lt;P&gt;&amp;nbsp;&lt;/P&gt;&lt;LI-CODE lang="markup"&gt; &amp;lt;?xml version="1.0" encoding="UTF-8"?&amp;gt; &amp;lt;breakfast_menu&amp;gt; &amp;lt;food&amp;gt;&amp;lt;name&amp;gt;REDACTED&amp;lt;name&amp;gt;&amp;lt;price&amp;gt;REDACTED&amp;lt;price&amp;gt;&amp;lt;description&amp;gt;REDACTED&amp;lt;description&amp;gt;&amp;lt;calories&amp;gt;REDACTED&amp;lt;calories&amp;gt; &amp;lt;/food&amp;gt; &amp;lt;food&amp;gt;&amp;lt;name&amp;gt;REDACTED&amp;lt;name&amp;gt;&amp;lt;price&amp;gt;REDACTED&amp;lt;price&amp;gt;&amp;lt;description&amp;gt;REDACTED&amp;lt;description&amp;gt;&amp;lt;calories&amp;gt;REDACTED&amp;lt;calories&amp;gt; &amp;lt;/food&amp;gt; &amp;lt;food&amp;gt;&amp;lt;name&amp;gt;REDACTED&amp;lt;name&amp;gt;&amp;lt;price&amp;gt;REDACTED&amp;lt;price&amp;gt;&amp;lt;description&amp;gt;REDACTED&amp;lt;description&amp;gt;&amp;lt;calories&amp;gt;REDACTED&amp;lt;calories&amp;gt; &amp;lt;/food&amp;gt; &amp;lt;food&amp;gt;&amp;lt;name&amp;gt;REDACTED&amp;lt;name&amp;gt;&amp;lt;price&amp;gt;REDACTED&amp;lt;price&amp;gt;&amp;lt;description&amp;gt;REDACTED&amp;lt;description&amp;gt;&amp;lt;calories&amp;gt;REDACTED&amp;lt;calories&amp;gt; &amp;lt;/food&amp;gt; &amp;lt;food&amp;gt;&amp;lt;name&amp;gt;REDACTED&amp;lt;name&amp;gt;&amp;lt;price&amp;gt;REDACTED&amp;lt;price&amp;gt;&amp;lt;description&amp;gt;REDACTED&amp;lt;description&amp;gt;&amp;lt;calories&amp;gt;REDACTED&amp;lt;calories&amp;gt; &amp;lt;/food&amp;gt; &amp;lt;/breakfast_menu&amp;gt; &lt;/LI-CODE&gt;&lt;P&gt;&amp;nbsp;&lt;/P&gt;&lt;P&gt;&amp;nbsp;&lt;/P&gt;</description>
    <pubDate>Fri, 04 Dec 2020 06:58:57 GMT</pubDate>
    <dc:creator>evdent</dc:creator>
    <dc:date>2020-12-04T06:58:57Z</dc:date>
    <item>
      <title>Remove XML elements via transforms (keep the tags)</title>
      <link>https://community.splunk.com/t5/Getting-Data-In/Remove-XML-elements-via-transforms-keep-the-tags/m-p/531962#M89467</link>
      <description>&lt;P&gt;Hi,&lt;/P&gt;&lt;P&gt;I am trying to remove elements from XML in a log file using the heavy forwarder via transforms.conf&lt;/P&gt;&lt;P&gt;Tried several variants, this one has come close but is only creating a single&amp;nbsp; instance of what its found&lt;/P&gt;&lt;P&gt;e.g &lt;EM&gt;&amp;lt;name&amp;gt;REDACTED&amp;lt;name&amp;gt;&lt;/EM&gt;&lt;/P&gt;&lt;P&gt;&amp;nbsp;&lt;/P&gt;&lt;P&gt;Current&lt;/P&gt;&lt;P&gt;Transforms.conf&lt;/P&gt;&lt;P&gt;[redact_xml]&lt;BR /&gt;REGEX = &amp;lt;(.*)&amp;gt;[^&amp;lt;]*&amp;lt;\/\1&amp;gt;&lt;BR /&gt;FORMAT = &amp;lt;$1&amp;gt;REDACTED&amp;lt;$1&amp;gt;&lt;BR /&gt;DEST_KEY = _raw&lt;/P&gt;&lt;P&gt;&amp;nbsp;&lt;/P&gt;&lt;P&gt;Example, the log file might have:&lt;/P&gt;&lt;P&gt;&amp;nbsp;&lt;/P&gt;&lt;LI-CODE lang="markup"&gt; &amp;lt;?xml version="1.0" encoding="UTF-8"?&amp;gt; &amp;lt;breakfast_menu&amp;gt; &amp;lt;food&amp;gt;&amp;lt;name&amp;gt;Belgian Waffles&amp;lt;/name&amp;gt;&amp;lt;price&amp;gt;$5.95&amp;lt;/price&amp;gt;&amp;lt;description&amp;gt;    Two of our famous Belgian Waffles with plenty of real maple syrup    &amp;lt;/description&amp;gt;&amp;lt;calories&amp;gt;650&amp;lt;/calories&amp;gt; &amp;lt;/food&amp;gt; &amp;lt;food&amp;gt;&amp;lt;name&amp;gt;Strawberry Belgian Waffles&amp;lt;/name&amp;gt;&amp;lt;price&amp;gt;$7.95&amp;lt;/price&amp;gt;&amp;lt;description&amp;gt;Light Belgian waffles covered with strawberries and whipped cream&amp;lt;/description&amp;gt;&amp;lt;calories&amp;gt;900&amp;lt;/calories&amp;gt; &amp;lt;/food&amp;gt; &amp;lt;food&amp;gt;&amp;lt;name&amp;gt;Berry-Berry Belgian Waffles&amp;lt;/name&amp;gt;&amp;lt;price&amp;gt;$8.95&amp;lt;/price&amp;gt;&amp;lt;description&amp;gt;Belgian waffles covered with assorted fresh berries and whipped cream&amp;lt;/description&amp;gt;&amp;lt;calories&amp;gt;900&amp;lt;/calories&amp;gt; &amp;lt;/food&amp;gt; &amp;lt;food&amp;gt;&amp;lt;name&amp;gt;French Toast&amp;lt;/name&amp;gt;&amp;lt;price&amp;gt;$4.50&amp;lt;/price&amp;gt;&amp;lt;description&amp;gt;Thick slices made from our homemade sourdough bread&amp;lt;/description&amp;gt;&amp;lt;calories&amp;gt;600&amp;lt;/calories&amp;gt; &amp;lt;/food&amp;gt; &amp;lt;food&amp;gt;&amp;lt;name&amp;gt;Homestyle Breakfast&amp;lt;/name&amp;gt;&amp;lt;price&amp;gt;$6.95&amp;lt;/price&amp;gt;&amp;lt;description&amp;gt;Two eggs, bacon or sausage, toast, and our ever-popular hash browns&amp;lt;/description&amp;gt;&amp;lt;calories&amp;gt;950&amp;lt;/calories&amp;gt; &amp;lt;/food&amp;gt; &amp;lt;/breakfast_menu&amp;gt;&lt;/LI-CODE&gt;&lt;P&gt;&amp;nbsp;&lt;/P&gt;&lt;P&gt;And I want to push into splunk the redacted version&lt;/P&gt;&lt;P&gt;&amp;nbsp;&lt;/P&gt;&lt;LI-CODE lang="markup"&gt; &amp;lt;?xml version="1.0" encoding="UTF-8"?&amp;gt; &amp;lt;breakfast_menu&amp;gt; &amp;lt;food&amp;gt;&amp;lt;name&amp;gt;REDACTED&amp;lt;name&amp;gt;&amp;lt;price&amp;gt;REDACTED&amp;lt;price&amp;gt;&amp;lt;description&amp;gt;REDACTED&amp;lt;description&amp;gt;&amp;lt;calories&amp;gt;REDACTED&amp;lt;calories&amp;gt; &amp;lt;/food&amp;gt; &amp;lt;food&amp;gt;&amp;lt;name&amp;gt;REDACTED&amp;lt;name&amp;gt;&amp;lt;price&amp;gt;REDACTED&amp;lt;price&amp;gt;&amp;lt;description&amp;gt;REDACTED&amp;lt;description&amp;gt;&amp;lt;calories&amp;gt;REDACTED&amp;lt;calories&amp;gt; &amp;lt;/food&amp;gt; &amp;lt;food&amp;gt;&amp;lt;name&amp;gt;REDACTED&amp;lt;name&amp;gt;&amp;lt;price&amp;gt;REDACTED&amp;lt;price&amp;gt;&amp;lt;description&amp;gt;REDACTED&amp;lt;description&amp;gt;&amp;lt;calories&amp;gt;REDACTED&amp;lt;calories&amp;gt; &amp;lt;/food&amp;gt; &amp;lt;food&amp;gt;&amp;lt;name&amp;gt;REDACTED&amp;lt;name&amp;gt;&amp;lt;price&amp;gt;REDACTED&amp;lt;price&amp;gt;&amp;lt;description&amp;gt;REDACTED&amp;lt;description&amp;gt;&amp;lt;calories&amp;gt;REDACTED&amp;lt;calories&amp;gt; &amp;lt;/food&amp;gt; &amp;lt;food&amp;gt;&amp;lt;name&amp;gt;REDACTED&amp;lt;name&amp;gt;&amp;lt;price&amp;gt;REDACTED&amp;lt;price&amp;gt;&amp;lt;description&amp;gt;REDACTED&amp;lt;description&amp;gt;&amp;lt;calories&amp;gt;REDACTED&amp;lt;calories&amp;gt; &amp;lt;/food&amp;gt; &amp;lt;/breakfast_menu&amp;gt; &lt;/LI-CODE&gt;&lt;P&gt;&amp;nbsp;&lt;/P&gt;&lt;P&gt;&amp;nbsp;&lt;/P&gt;</description>
      <pubDate>Fri, 04 Dec 2020 06:58:57 GMT</pubDate>
      <guid>https://community.splunk.com/t5/Getting-Data-In/Remove-XML-elements-via-transforms-keep-the-tags/m-p/531962#M89467</guid>
      <dc:creator>evdent</dc:creator>
      <dc:date>2020-12-04T06:58:57Z</dc:date>
    </item>
  </channel>
</rss>

